VLAN 생성 및 설정방법 (cisco Switch)

VLAN 생성 및 설정방법 (cisco Switch)

오늘 필자는  VLAN 설정에 대해서 설명을 드리고자 한다. VLAN을 왜 사용해야하는지는 필자가 써놓은 앞에 글을 참고해주시면 되겠다. 그래도...간략하게 설명을 해드리자면...

예를 들어서 10명의 user가 있다. 그래서 24포트 스위치를 샀다. 여기가 경력직 사원들의 자리라고 가정한다.

경력직 직원들이 묶여있는 L2 스위치 24포트

그런데 신입사원이 10명 들어왔다. 그런데....경력직 사원들과 같이 인터넷을 쓰라고 한다. 문제는 보안이다. 망을 분리해서 써야한다고 한다. 그럼 가장 좋은 사항은  경력직 직원들 따로 스위치, 신입직원들 따로 Switch 구성하면 가장 좋다. 

물리적으로 아예 스위치를 2개로 분리해버리면 제일 좋다.

그런데, 신입이나 경력직 지원들이 각각 20여명 이상 된다면 당연히 위 그림처럼 물리적으로 L2 2대로 설치하는게 가장 최상이고 아주 기본적인 상식이다. 그런데 둘이 합져도 (10+10) 20명이다. 그렇게 되면 각 스위치당 포트 낭비가 1개 스위치에서 14개씩 발생한다. 굉장히 비효율적이라는 이야기가 나온다. 그럼 어떻게 하란 말인가?

그래서, VLAN이라는 개념이 나온다. 각 포트별로 쪼개서 사용하자는 이야기이다. 이렇게.......

이런식으로 포트별로 VLAN을 분리가 가능하다.

gi0/1 - 12번까지는 경력직 사원의 VLAN 100이고 gi0/13 - 24번까지는 신입 직원 VLAN 200으로 나누게 되면 스위치의 논리적 분리가 가능하다. 이게 VLAN의 핵심이다. 다른 VLAN끼리 통신하는 것을 막아버린다. 그래서 VLAN을 각 용도별로 구분하는게 보안설정에 있어서는 좋은 사례가 된다. 그럼 어떻게 분리하냐고? config를 알려드리겠다. 쪼매만 기다려주시라....

Switch#config terminal
Switch(config)#vlan 100   (vlan 100 생성)
Switch(config-vlan)#exit   (vlan 100에서 빠져나감)
Switch(config)#vlan 200   (vlan 200 생성)
Switch(config-vlan)#exit   (vlan 200에서 빠져나감)
Switch(config)#int vlan 100  (생성된 vlan 100으로 진입)
Switch(config-if)#no shutdown   (vlan 100 활성화)
Switch(config-if)#ip address 192.168.100.1 255.255.255.0  (vlan 100에 192.168.100.1번 할당)
Switch(config-if)#exit      (vlan 100에서 빠져나감)
Switch(config)#int range gi0/1 - 12    (범위을 gi0/1번에서 12번까지 확대)
Switch(config-if-range)#sw mo acc     (해당 포트를 vlan으로 던질 준비)
Switch(config-if-range)#sw acc vlan 100   (해당 포트를 vlan 100으로 선언)   
Switch(config-if-range)#exit    (해당 범위에서 빠져나감)
Switch(config)#int vlan 200  (생성된 vlan 200으로 진입)
Switch(config-if)#no shutdown   (vlan 200 활성화)
Switch(config-if)#ip address 192.168.200.1 255.255.255.0  (vlan 200에 192.168.200.1번 할당)
Switch(config-if)#exit      (vlan 200에서 빠져나감)
Switch(config)#int range gi0/13 - 24    (범위을 gi0/13번에서 24번까지 확대)
Switch(config-if-range)#sw mo acc     (해당 포트를 vlan으로 던질 준비)
Switch(config-if-range)#sw acc vlan 200   (해당 포트를 vlan 200으로 선언)   
Switch(config-if-range)#exit    (해당 범위에서 빠져나감)

이렇게 하면 스위치 설정은 종료가 된다. 그럼 제대로 되어 있는지 확인을 해봐야한다. sh run을 해보자.

이렇게 vlan이 만들어졌고 vlan에 IP가 들어간것을 볼수 있다.

그럼...여기서 끝이 아니다. vlan이 각 포트별로 어떻게 선언 되어 있는지 반드시 확인해야한다.

1번에서 12번까지 vlan 100, 13번에서 24번까지 vlan 200으로 선언이 된것을 한눈에 볼수 있다.

각 포트별로 vlan이 생성되어 있고 이제는 논리적으로 분리가 되었다는 이야기이다.

그럼 1번포트에서 12번 포트까지는 반드시 192.168.100.0/24 대역을 써야하고 13번 포트에서는 192.168.200.0/24 대역을 써야만 통신이 되게끔 선언이 되었다는 이야기가 된다. 서로 IP 대역이 다르니까 엉뚱한 포트에 연결해도 동작안한다. 이게 VLAN의 핵심이라고 보면 되겠다. 여유가 된다면 필자생각에는 제 블로그를 보시는 분이라면 꼭 해보셨으면 한다. 스위치는 필자가 만든것도 아니고 미국에서 만든거다. 그래서 미국에 표준이 맞춰있는지라 우리가 익숙하지 않다. 아니..안 익숙한게 사실이고 현실이다. 필자도 처음부터 스위치 잘 만진거 절대로 아니다. 알기 위해서 노력을 했다. 역시 노력은 배신하지 않는다.  자꾸 만지다보니까 익숙해졌다. 여러분들도 많이 만져보고 고장도 내먹어봐야 진정한 네트워크 엔지니어가 된다고 필자는 믿어본다.

https://www.youtube.com/watch?v=Rb-sw16x7MQ

필자가 운영하는 유튜브에 실제 config하는 것을 영상으로 올려뒀음...목소리가 안 좋더라고 이해하시길...^^

오늘의 포스팅은 여기에서 마친다.